COVID-bit: sztuczka z bezprzewodowym oprogramowaniem szpiegującym o niefortunnej nazwie

Jeśli jesteś regularnym czytelnikiem Naked Security, prawdopodobnie możesz zgadnąć, dokąd na planecie zmierzamy w tej wirtualnej podróży….

…znów wyruszamy na Wydział Inżynierii Oprogramowania i Systemów Informatycznych na Uniwersytecie Ben-Guriona w Negev w Izraelu.

Naukowcy z Zakładowego Centrum Badań nad Cyberbezpieczeństwem regularnie badają kwestie bezpieczeństwa związane z tzw przerwany powietrzem sieciach.

Jak sama nazwa wskazuje, sieć airgapped jest celowo odłączana nie tylko od Internetu, ale także od innych sieci, nawet tych w tym samym obiekcie.

Aby stworzyć bezpieczny obszar przetwarzania danych o wysokim poziomie bezpieczeństwa (lub, dokładniej, jakikolwiek obszar o wyższym poziomie bezpieczeństwa niż jego sąsiedzi, w którym dane nie mogą łatwo się wydostać), żadne fizyczne przewody nie są połączone z siecią powietrzną z żadną inną siecią .

Ponadto cały sprzęt do komunikacji bezprzewodowej jest zwykle wyłączony (i najlepiej usuwany fizycznie, jeśli to możliwe, lub trwale odłączany przez przecięcie przewodów lub ścieżek na płytce drukowanej, jeśli nie).

Chodzi o to, aby stworzyć środowisko, w którym nawet jeśli atakujący lub zniechęceni wtajemniczeni zdołają wstrzyknąć złośliwy kod, taki jak oprogramowanie szpiegujące, najnowszych systemu, odzyskanie skradzionych danych nie byłoby dla nich łatwe ani nawet możliwe na zewnątrz ponownie.

To trudniejsze niż się wydaje

Niestety, stworzenie użytecznej sieci z przerwami powietrznymi bez zewnętrznych „luk w danych” jest trudniejsze, niż się wydaje, a badacze z Uniwersytetu Ben-Guriona opisali w przeszłości wiele wykonalnych sztuczek, a także sposoby ich złagodzenia.

Wielokrotnie już pisaliśmy, co prawda z mieszanką fascynacji i zachwytu, o ich pracy, w tym o zwariowanych sztuczkach, takich jak GAIROSKOP (przekształcenie chipa kompasu telefonu komórkowego w prymitywny mikrofon), LANTENA (wykorzystanie przewodowych kabli sieciowych jako anten radiowych) i FANSMITER (zmiana prędkości wentylatora procesora poprzez zmianę obciążenia systemu w celu utworzenia „kanału danych audio”).

Tym razem naukowcy nadali swojej nowej sztuczce niefortunną i być może niepotrzebnie mylącą nazwę Bit COVID, Gdzie COV jest wyraźnie wymieniony jako „ukryty” i możemy to zgadnąć bit ID oznacza coś w rodzaju „ujawniania informacji, bit po bicie”.

Ten schemat eksfiltracji danych wykorzystuje własne źródło zasilania komputera jako źródło nieautoryzowanych, ale wykrywalnych i dekodowalnych transmisji radiowych.

Naukowcy twierdzą, że ukryta prędkość transmisji danych dochodzi do 1000 bitów na sekundę (co było doskonale użyteczną i użyteczną szybkością modemu telefonicznego 40 lat temu).

Twierdzą również, że dane, które wyciekły, mogą zostać odebrane przez niezmodyfikowany i niewinnie wyglądający telefon komórkowy – nawet taki z wyłączonym własnym sprzętem bezprzewodowym – w odległości do 2 metrów.

Oznacza to, że wspólnicy spoza bezpiecznego laboratorium mogą być w stanie wykorzystać tę sztuczkę, aby bez podejrzeń otrzymać skradzione dane, zakładając, że ściany laboratorium nie są wystarczająco dobrze chronione przed wyciekiem radiowym.

Oto jak to zrobić Bit COVID działa.

Zarządzanie energią jako kanał danych

Nowoczesne procesory zwykle zmieniają swoje napięcie robocze i częstotliwość, aby dostosować się do zmieniającego się obciążenia, zmniejszając w ten sposób zużycie energii i pomagając zapobiegać przegrzaniu.

Rzeczywiście, niektóre laptopy kontrolują temperaturę procesora bez potrzeby stosowania wentylatorów, celowo spowalniając procesor, jeśli zaczyna się on nagrzewać, dostosowując zarówno częstotliwość, jak i napięcie, aby ograniczyć ciepło odpadowe kosztem niższej wydajności. (Jeśli kiedykolwiek zastanawiałeś się, dlaczego twoje nowe jądra Linuksa wydają się budować szybciej zimą, może to być powód.)

Mogą to zrobić dzięki zgrabnemu urządzeniu elektronicznemu znanemu jako SMPS, skrót od zasilacz impulsowy.

SMPSy nie używają transformatorów i zmiennych rezystancji do zmiany napięcia wyjściowego, jak to miało miejsce w przypadku staromodnych, nieporęcznych, nieefektywnych, brzęczących zasilaczy w dawnych czasach.

Zamiast tego pobierają stałe napięcie wejściowe i przekształcają je w czystą prostokątną falę prądu stałego za pomocą szybko przełączającego tranzystora, aby całkowicie włączyć i całkowicie wyłączyć napięcie, od setek tysięcy do milionów razy na sekundę.

Dość proste komponenty elektryczne zamieniają następnie ten pocięty sygnał prądu stałego na stałe napięcie, które jest proporcjonalne do stosunku długości stopni „włączonych” i „wyłączonych” w czysto przełączanej fali prostokątnej.

Luźno mówiąc, wyobraź sobie wejście 12 V DC, które jest całkowicie włączone na 1/500,000 1 sekundy, a następnie całkowicie wyłączone na 250,000/12 1 części sekundy, w kółko, więc jest na 3 V przez 0/2 czasu i przy 3 V przez 1/3 tego. Następnie wyobraź sobie, że ta elektryczna fala prostokątna zostaje „wygładzona” przez cewkę indukcyjną, diodę i kondensator do stałego wyjścia prądu stałego przy 4/XNUMX szczytowego poziomu wejściowego, wytwarzając w ten sposób prawie idealnie stabilne napięcie wyjściowe XNUMX V.

Jak możesz sobie wyobrazić, to przełączanie i wygładzanie obejmuje szybkie zmiany prądu i napięcia wewnątrz SMPS, co z kolei tworzy niewielkie pola elektromagnetyczne (mówiąc najprościej, fale radiowe), które wyciekają przez metalowe przewodniki w samym urządzeniu, takie jak ścieżki przewodów na płytce drukowanej i przewody miedziane.

A tam, gdzie występuje wyciek elektromagnetyczny, możesz być pewien, że naukowcy z Uniwersytetu Ben-Guriona będą szukać sposobów wykorzystania go jako możliwego tajnego mechanizmu sygnalizacyjnego.

Ale jak można wykorzystać szum radiowy przełączania SMPS miliony razy na sekundę, aby przekazać coś innego niż szum?

Przełącz szybkość przełączania

Sztuczka, zdaniem a raport napisany przez badacza Mordechaja Guri polega na nagłej i dramatycznej zmianie obciążenia procesora, ale przy znacznie niższej częstotliwości, poprzez celową zmianę kodu działającego na każdym rdzeniu procesora od 5000 do 8000 razy na sekundę.

Tworząc systematyczny wzorzec zmian obciążenia procesora przy tych stosunkowo niskich częstotliwościach…

…Guri był w stanie oszukać SMPS przełączania szybkości przełączania wysokiej częstotliwości w taki sposób, że generował wzorce radiowe o niskiej częstotliwości, które można było niezawodnie wykrywać i dekodować.

Co więcej, biorąc pod uwagę, że jego celowo generowany elektromagnetyczny „pseudoszum” pojawiał się między 0 Hz a 60 kHz, okazało się, że jest on dobrze dopasowany do możliwości próbkowania przeciętnego laptopa lub układu audio telefonu komórkowego, używanego do digitalizacji głosu i odtwarzania muzyka.

(Fraza układ audio powyżej nie jest literówką, chociaż mówimy o falach radiowych, jak wkrótce się przekonasz).

Tak się składa, że ​​ludzkie ucho może słyszeć częstotliwości do około 20 kHz i aby niezawodnie wykrywać oscylacje dźwięku, a tym samym odtwarzać wysokie częstotliwości jako realne fale dźwiękowe, trzeba wytworzyć sygnał wyjściowy lub nagrać sygnał wejściowy z co najmniej dwukrotnie większą częstotliwością. tylko kolce lub „linie proste” w stylu DC.

Częstotliwości próbkowania CD (płyty CD, jeśli je pamiętasz) zostały ustawione z tego powodu na 44,100 XNUMX Hz, a DAT (cyfrowa taśma dźwiękowa) pojawił się wkrótce potem, w oparciu o podobną, ale nieco inną częstotliwość 48,000 XNUMX Hz.

W rezultacie prawie wszystkie używane obecnie cyfrowe urządzenia audio, w tym zestawy słuchawkowe, telefony komórkowe i mikrofony do podcastów, obsługują częstotliwość nagrywania 48,000 384 Hz. (Niektóre wymyślne mikrofony chodzą wyżej, podwajając, podwajając, a nawet podwajając tę ​​częstotliwość aż do 48 kHz, ale XNUMX kHz to częstotliwość, przy której można założyć, że prawie każde współczesne cyfrowe urządzenie audio, nawet najtańsze, jakie można znaleźć, będzie w stanie nagrywać.)

Gdzie dźwięk spotyka się z radiem

Tradycyjne mikrofony przetwarzają fizyczne ciśnienie akustyczne na sygnały elektryczne, więc większość ludzi nie kojarzy gniazda audio w laptopie lub telefonie komórkowym z promieniowaniem elektromagnetycznym.

Ale możesz przekonwertować swój telefon komórkowy audio obwody w niskiej jakości, niskiej częstotliwości, małej mocy radio odbiornik lub nadajnik…

… po prostu tworząc „mikrofon” (lub parę „słuchawek”) składający się z drucianej pętli, podłączając go do gniazda audio i pozwalając mu działać jako antena radiowa.

Jeśli zarejestrujesz słaby elektryczny sygnał „audio”, który jest generowany w pętli przewodowej przez promieniowanie elektromagnetyczne, na które jest narażony, uzyskasz cyfrową rekonstrukcję fal radiowych o częstotliwości 48,000 XNUMX Hz, które zostały odebrane, gdy „antena” była podłączona.

Tak więc, używając kilku sprytnych technik kodowania częstotliwości do skonstruowania „szumu” radiowego, który w końcu nie był tylko przypadkowym szumem, Guri był w stanie stworzyć ukryty, jednokierunkowy kanał danych z szybkością transmisji od 100 bitów/s do 1000 bitów/ s, w zależności od typu urządzenia, na którym działał kod poprawiający obciążenie procesora.

Guri stwierdził, że komputery stacjonarne można oszukać, aby wytwarzały „tajne fale radiowe” o najwyższej jakości, dając 500 bitów na sekundę bez błędów lub 1000 bitów na sekundę z 1% stopą błędu.

Raspberry Pi 3 mógł „przesyłać” z prędkością 200 bitów na sekundę bez błędów, podczas gdy laptop firmy Dell używany w teście osiągał prędkość 100 bitów na sekundę.

Zakładamy, że im ściślej upakowane są obwody i komponenty wewnątrz urządzenia, tym większe są zakłócenia ukrytych sygnałów radiowych generowanych przez obwody SMPS.

Guri sugeruje również, że kontrole zarządzania energią, zwykle stosowane w komputerach przenośnych, mające na celu przede wszystkim wydłużenie żywotności baterii, zmniejszają stopień, w jakim szybkie zmiany obciążenia procesora wpływają na przełączanie SMPS, zmniejszając w ten sposób zdolność przenoszenia danych przez ukryty sygnał.

Niemniej jednak 100 bitów na sekundę wystarczy, aby ukraść 256-bitowy klucz AES w mniej niż 3 sekundy, 4096-bitowy klucz RSA w około minutę lub 1 MB dowolnych danych w mniej niż dzień.

Co robić?

Jeśli prowadzisz bezpieczny obszar i martwisz się o tego rodzaju ukryte kanały eksfiltracji:

• Rozważ dodanie ekranowania radiowego wokół swojego bezpiecznego obszaru. Niestety, w przypadku dużych laboratoriów może to być kosztowne i zazwyczaj wiąże się z kosztowną izolacją okablowania zasilającego laboratorium, a także ekranowaniem ścian, podłóg i sufitów metalową siatką.
• Rozważ generowanie sygnałów radiowych kontrwywiadu. „Zagłuszanie” widma radiowego w paśmie częstotliwości, które zwykłe mikrofony audio mogą przetwarzać cyfrowo, złagodzi tego rodzaju atak. Pamiętaj jednak, że zagłuszanie radia może wymagać zezwolenia organów regulacyjnych w Twoim kraju.
• Rozważ zwiększenie szczeliny powietrznej powyżej 2 metrów. Spójrz na swój plan piętra i weź pod uwagę to, co znajduje się obok bezpiecznego laboratorium. Nie pozwól, aby pracownicy lub goście pracujący w niezabezpieczonej części Twojej sieci zbliżyli się na odległość mniejszą niż 2 m do sprzętu znajdującego się wewnątrz, nawet jeśli na drodze stoi ściana.
• Rozważ uruchomienie losowych dodatkowych procesów na bezpiecznych urządzeniach. Dodaje to nieprzewidywalny szum radiowy do ukrytych sygnałów, co utrudnia ich wykrycie i dekodowanie. Jednak, jak zauważa Guri, robienie tego „na wszelki wypadek” cały czas zmniejsza dostępną moc obliczeniową, co może być nie do zaakceptowania.
• Rozważ zablokowanie częstotliwości procesora. Niektóre narzędzia do konfiguracji systemu BIOS pozwalają to zrobić i ograniczają ilość przełączania zasilania, które ma miejsce. Jednak Guri znaleziono że tak naprawdę ogranicza to tylko zasięg ataku, a nie eliminuje go.

Oczywiście, jeśli nie masz bezpiecznego obszaru, o który możesz się martwić…

…wtedy możesz po prostu cieszyć się tą historią, pamiętając, że wzmacnia ona zasadę, że ataki stają się coraz lepsze, a więc to bezpieczeństwo to naprawdę podróż, a nie cel.

---